Задать вопрос

Не работает access-list. Что не так?

Не работает access-list на исходящем интерфейсе
система очень простая cisco router к примеру 3725(c3725-adventerprisek9-mz.124-25d) подключен интерфейсом FastEthernet0/1 в любой коммутатор
c5b0a1bcee1a4338ba58f8970b120932.PNG
конфигурация роутера R1
interface Loopback0
 ip address 192.168.2.1 255.255.255.255
!
interface Tunnel0
 ip unnumbered Loopback0
 ip ospf network point-to-point
 ip ospf mtu-ignore
 tunnel source FastEthernet0/1
 tunnel destination 192.168.1.1
!
interface FastEthernet0/1
 ip address 192.168.1.2 255.255.255.0
 ip access-group 100 in
 ip access-group 101 out
 duplex auto
 speed auto
 no shutdown
!
router ospf 1
 router-id 192.168.2.1
 log-adjacency-changes
 network 192.168.2.1 0.0.0.0 area 192.168.1.1
!
ip route 0.0.0.0 0.0.0.0 FastEthernet0/1
!
access-list 100 deny   gre any any log
access-list 101 deny   gre any any log
no cdp run


по идее GRE трафик должен блокироваться но этого не происходит
Wireshark показывает что GRE трафик выходит за FastEthernet0/1

51227ca8163e4fe7b831cf160c7429b9.PNG
  • Вопрос задан
  • 1412 просмотров
Подписаться 5 Оценить Комментировать
Пригласить эксперта
Ответы на вопрос 4
Archangel
@Archangel
Вы совершенно правы. На маршрутизаторах с IOS трафик инициированный самим маршрутизатором не попадает под ACL.

Если есть такая критичная необходимость не пустить трафик наружу, то самый простой вариант - заворачивать целевой трафик на loopback интерфейс с помощью локального route-map-а.

ip local policy route-map
Ответ написан
Комментировать
@heavenfox Автор вопроса
да мне кажется как-раз 2ой случай
буду читать про это подробней
Ответ написан
Комментировать
fredyk
@fredyk
Надеюсь, что не глупость скажу, но озвучу 2 своих версии, что приходят на ум:
1) Нельзя вешать более одного ACL на интерфейс/протокол/направление
2) ACL не действует на трафик, сгенерированный самим маршрутизатором (Ваш случай)
Ответ написан
Комментировать
@John_Alban
Network/IDS engineer
Можно заблокировать на уровне control-plane policy. В текущем виде не получится, т.к. трафик собственный трафик роутера под фильтр не попадет. Но входящий туннель у вас все равно не поднимется, так что задача в какой то степени решена..
Ответ написан
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы